AD06降级域控制器为成员服务器

Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作设置额外域控制器为GC（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本________________________________________一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称FSMO）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。

每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。

RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。

通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。

域控制器降级基础知识如果您通过使⽤ Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引⽤，然后再使⽤相同的域名将⼀个新域提升到同⼀林中。

Windows 2000 ⽀持⼯具中包含的 Replmon.exe 或 Repadmin.exe 之类的⼯具可帮助您确定是否发⽣过端到端复制。

Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下⽂的速度要明显⽐ Windows Server 2003 慢。

Windows Server 2003 域控制器1. Windows Server 2003 域控制器在默认情况下⽀持强制降级。

单击“开始”，单击“运⾏”，然后键⼊以下命令：dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使⽤ Active Directory 安装向导”页中，单击“下⼀步”。

4. 在“强制删除 Active Directory”页中，单击“下⼀步”。

5. 在“管理员密码”中，键⼊您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下⼀步”。

6. 在“摘要”中，单击“下⼀步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执⾏元数据清除。

如果您通过使⽤ Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引⽤，然后再使⽤相同的域名将⼀个新域提升到同⼀林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下⽂的速度要明显⽐ Windows Server 2003 慢。

如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独⽴服务器来说是不可⽤的。

WindowsAD域升级⽅法前⾯的博客中我谈到了⽹络的基本概念和⽹络参考模型，今天我们来谈企业中常⽤的技术，Windows AD 域，今天我的笔记将重点讲解Windows AD 域的升级和迁移⽅法，通过3个⼩实验进⾏配置，真实环境可能和虚拟机上的有些差异，请注意。

（部分内容参考博友王哥哥哥哥和51CTO论坛上的⼀些资料，进⾏配置验证）如有错误，请各位博友批评指正。

实验⼀：Windows server 2003AD 升级到Windows servers2008AD环境：1台Windows server 2003 域控，域名 系统：1台 Windows server 2003，1台Windows server 2008 R2地址：win 03 IP :192.168.1.253 DNS：192.168.1.253Win 08 IP :192.168.1.254 DNS：192.168.1.253步骤：1.使⽤win 03 搭建根域， ；并将win 08 加⼊域中2.使⽤win 08 作为额外域控（错误原因为win 03 必须升级架构才能兼容win 08.）2.1 运⾏ regsvr 32 schmmgmt.dll 命令安装架构管理⼯具。

运⾏MMC命令，打开控制台2.2添加08 ISO 镜像，扩展架构win 03读取到镜像2.3 输⼊d 跳转到光盘所在分区D，继续输⼊cd support\adprep 命令进⼊adprep⽬录。

2.4 输⼊adprep32.exe /forestprep 命令升级林架构,出现adprep警告（运⾏adprep前确认林中所有域控都升级到Windows 2000 service pack 4（sp4）或更⾼版本）按C继续。

运⾏adprep32.exe /domainprep 扩展域结构（注意，要先扩展AD林，才能扩展AD域。

）运⾏adprep32.exe /domainprep /gpprep ,更新组策略。

域控制器降级失败后，如何删除Active Directory 中的数据本文介绍在域控制器降级失败后，如何删除Active Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本3 客户端，并且不恰当地修改了Active Directory 对象的属性，则可能造成严重问题。

要解决这些问题，您可能需要重新安装Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或Microsoft Exchange Server 2003，或者Windows 和Exchange 二者都需要重新安装。

Microsoft 不保证能够解决因为Active Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导(Dcpromo.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。

作为降级过程的一部分，此向导会将该域控制器的配置数据从Active Directory 中删除。

此数据的形式是“NTDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于Active Directory 的下列位置：CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain> ...“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。

姓名：1、下列哪个不是活动目录的特性A) 使用LDAP存储和传输信息；B) 依靠DNS进行名字解析；C) 平面的域名空间；D) 扩展Schema的能力。

2、下列哪种服务器包含活动目录数据库的数据A) 成员服务器；B) 域控制器；C) 独立的服务器；D) 以上所有的。

3、下列哪个活动目录组件允许在所有域中快速搜索对象？A) 数据存储；B) 全局目录（GC）；C) Schema；D) 以上所有的。

4、查询活动目录需要下列哪种协议？A) DAP；B) LDAP;C) NetBEUI;D) IPX/SPX5、下列哪个命令的执行失败可以指出DNS配置可能有错误？A) PING 127.0.0.1；B) PING本地主机的IP地址；C) PING ；D) 以上都不是。

6、活动目录依靠下列哪个类型的资源记录来定位DC？A) SRV；B) PTR；C) A；D) MX。

7、下列哪个工具可以检查活动目录是否启动？A) PINGB) IPCONFIG；C) NSLOOKUP；D) 事件查看器。

8、活动目录安装向导不支持下列哪种操作？A) 将服务器升级为域控制器；B) 将域控制器降级为服务器；C) 在域间移动服务器；D) 以上都不是。

9、下列哪个类型的组能够包含多个域的用户？A)通用组；B)域本地组；C)全局组；D)以上都是。

10、使用“Active Directory用户和计算机”工具不能执行下列哪个操作？A)创建用户对象；B)重命名用户对象；C)重新设置用户帐号的口令；D)重命名计算机帐号；11、下列哪个不是“查找”对话框中默认的活动目录对象分类？A) 用户、联系人和组；B) 计算机；C) 服务器和域控制器；D) 组织单元；E) 打印机。

12、管理员使用“Active Directory用户和计算机”工具查看OU中的对象，以前在这个OU中创建了很多用户、组和计算机，但现在只显示出了用户，可能的原因是什么？A) 组和计算机没有正常显示；B) 另一个管理员可能锁定了组和计算机对象；C) 设置了“筛选”参数使之只显示用户对象；D) 组和计算机帐号从来没使用过，所以没有显示；E) 以上都不是。

域控制器降级也就是删除Active Directory服务的过程，即将域控制器降级为成员服务器或独立服务器。

当有新服务器接替域控制器的工作或者网络重新规划的情况下，可能就需要执行此操作。

实施域控制器降级需要注意以下事项：n 如果该域内还有其他域控制器，则该域控制器会被降级为成员服务器；n 如果该域控制器是域内最后一个域控制器，则该域控制器会被降级为独立服务器；n 如果该域控制器还担任了“全局编录”，则在实施降级操作前，请先确认网络中还有其他“全局编录”，否则，将影响用户的登录操作。

1、使用域管理员帐号登录该域控制器，依次选择“Start”—“Run”—输入命令dcpromo—单击“OK”按钮，启动“Active Directory Domain Service Installation Wizard”；2、单击“Next”，提示该域控制器是全局编录服务器，单击“OK”按钮；3、如果这台域控制器是域内最后一台域控制器，则选择“Delete the domain because this server is the last domain controller in the domain”，降级后，该域控制器会变成独立服务器，否则，该域控制器会降级为成员服务器。

单击“Next”按钮；4、设定降级后的administrator密码，单击“Next”按钮；5、出现如下“Summary”对话框，单击“Next”按钮；6、开始降级操作；7、完成后，单击“Finish”结束；8、提示需要重启服务器，单击“Restart Now”执行重启操作；9、至此，域控制器降级操作完成，随后就可以发现，降级后的计算机被移动到了Active Directory的Computer组中；。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

网络系统管理与维护期末练习题中央电大工学院边宇枢2010年06月24日浏览数：393一、填空题1．为了保证活动目录环境中各种对象行为的有序与安全，管理员需要制定与现实生活中法律法规相似的各种管理策略，这些管理策略被称为（）策略。

组2．在设置组策略时，当父容器的组策略设置与子容器的组策略设置发生冲突时，（）容器的组策略设置最终生效。

子3．在ISA Server中，防火墙的常见部署方案有：（）防火墙、（）防火墙和（）防火墙等。

边缘防火墙、三向防火墙和背对背防火墙4．ISA Server支持三种客户端：（）客户端、（）客户端和（）客户端。

Web代理客户端、防火墙客户端和SecureNAT客户端5．（）电源是一种在市电中断时仍然能够为网络设备提供持续、稳定、不间断的电源供应的重要外部设备。

UPS6．一旦对父容器的某个GPO设置了（），那么，当父容器的这个GPO的组策略设置与子容器的GPO 的组策略设置发生冲突时，父容器的这个GPO的组策略设置最终生效。

强制7．软件限制规则有：（）规则、（）规则、（）规则和（）规则。

哈希规则、证书规则、路径规则和Internet区域规则。

8．在ISA Server上配置发布规则时，内部网络中希望被发布的计算机必须为（）客户端。

SecureNAT 9．（）类故障一般是指由于安装错误、配置错误、病毒、恶意攻击等原因而导致的各种软件或服务的工作异常和故障。

逻辑10．在活动目录中，计算机账户用来代表域中的（）。

计算机11．一旦对某个容器设置了（），那么它将不会继承由父容器传递下来的GPO设置，而是仅使用那些链接到本级容器的GPO设置。

阻止继承12．在ISA Server中，为了控制内部用户访问Internet，管理员需要创建（）规则。

访问13．如果计算机策略与用户策略发生冲突时，以（）策略优先。

计算机14．（）型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。

复合15．（）备份是最完整的备份方式，所有被选定的文件和文件夹都会被备份（无论此时其“存档”属性是否被设置）。

主域控降级后Exchange服务故障解决图解一日闲来无事，正在天极东荡西逛的时候，QQ上出现了等米下锅这个家伙的信息，打开一看，是别人问他的一个关于Exchange的问题:主域控上安装了Exchange，由于主域控发生了一些问题，需要降级，成功降级后，虽然网络上存在着很多台额域，但Exchange服务却启动不了了，米锅问我有没有碰到过类似的情况?说实话，我的确是没有碰到过，不过我记得他以前和我讨论过这个问题，我当时是建议为其它的额域或成员服务器上再安装一个Exchange服务器，并做成群集，这样就算把主域控完全删除也不会有任何问题，但当时米锅却比较反对这样操作，他认为做成群集对以后的管理会造成很大的麻烦，而且提出这个问题的人似乎水平也不咋的，群集管理对他而言可能难度比较大。

从米锅现在提出的这个问题来看，对方似乎已经把主域控降级了，看来现在说什么也于事无补了。

米锅说他的机器配置不好，做不了实验，想让我帮忙做一个，我想反正没事，就满口答应下来。

现在我把整个实验的过程、解决方案及实验中走过的一些弯路写下来，希望能和大家分享一下。

首先，来介绍一下实验环境:域名:主域控机器名:OS:Windows Server 2003IP:192.168.2.1子网掩码:255.255.2550DNS服务器:192.168.2.1并在上面安装Exchange 2003额域控:机器名:OS:Windows Server 2003IP:192.168.2.2子网掩码:255.255.2550DNS服务器:192.168.2.1对于如何把成员服务器配置成主域控，如何配置成额域控，及如何配置DNS，安装Exchange 2003之类的操作我就不在此详细说明了，如果大家在配置、安装过程有什么问题的话，可以给我发E-Mail，我的E-Mail:hzswg@，本次实验我总共做了两次，因为第一次失败了，好，现在先来说第一次实验:当然，首先得把这个环境做出来，我在主域控上运行Dcpromo，把主域控降级成为成员服务器:点“下一步”可能出现下图:这是由于主域控是全局编录服务器，可以先点“确定”，降级完成后到其它域控上指定，也可以先到其它额域上指定，然后再降级。

域控制器的删除6.2.3 正常删除域控制器示例【注意】无论是正常删除，还是强制删除，当域控制器上安装了"证书"服务时，不能删除域控制器，必须先卸载证书服务组件。

另外，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。

如果群集管理器也不能成功退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称 /forcecleanup当不再需要某服务器担当域控制器角色，而需要该服务器成为网络中的一台普通成员服务器时，可以通过删除其中的活动目录来降级该域控制器成为成员服务器。

这也就是通常所说的域控制器删除。

一般来说，可以通过正常运行Active Directory安装向导来删除域控制器。

【经验之谈】可以删除域中的任何域控制器，包括第一台域控制器，但是如果要删除全局编录的域控制器，则要确保网络中还有其他域控制器配置为全局编录角色，否则网络中没有一台域控制器是全局编录角色，会影响用户的网络访问性能的。

在删除网络中全局编录角色域控制器时会弹出如图6-73所示的警告提示框，提示必须先要确保网络中有足够的全局编录角色域控制器。

全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。

在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不需要其他域控制器参考搜索。

配置域控制器为全局编录角色的方法是在"Active Directory站点和服务"管理单元控制台中Default-First-Site下面的Server节点下单击选择相应的域控制器（如图6-74所示），然后在右侧窗格中的NTDS Settings项上右击，在"常规"选项卡中选择"全局编录"复选项，如图6-75所示。

下面介绍正常情况下的域控制器删除方法。

在此以删除lycb.local中的一台额外域控制器lycb-dc2为例进行介绍。

本文介绍如安在Windows 2000 中提升域控制器或将其降级为独立办事器。

将办事器提升为域控制器就是在此办事器上安装Active Directory 办事的历程。

将域控制器降级就是删除Active Directory 并切换到使用当地用户帐户系统(UAS)。

在将办事器提升为域控制器之前，必须计划您的结构以便最好地适应组织需要和网络拓扑结构。

在将办事器提升为域控制器时，治理员有以下选项：•在新目录林中安装第一个域控制器•在新域目录树中安装第一个域控制器•在新子域中安装第一个域控制器•在域目录树中安装分外域控制器•从域控制器中删除Active Directory进行名称解析时，域名系统(DNS) 办事是Active Directory 不可缺少的一部门。

DNS 界说了Windows 2000 命名空间，并且非常灵活。

有关DNS 要求和安装的其他信息，请单击下面的文章编号，以检察Microsoft 知识库中相应的文章：设置Active Directory 的域名系统在计划好配置并决定将在提升历程中使用哪一选项后，请按下面相应部门中的步调操纵。

这几部门可指导治理员完成提升历程。

在新目录林中安装第一个域控制器注意：您必须在提升前或在提升历程中在某一位置安装一个DNS 办事器。

在将盘算机提升为域控制器后，它在DNS 中注册办事，这些办事使轻型目录访问协议(LDAP) 查询能够针对此域控制器上的目录执行。

1.单击开始，单击运行，键入dcpromo，然后单击确定。

2.这将启动“Active Directory 安装向导”。

单击下一步。

3.Active Directory 安装向导会询问一系列问题，以确定此办事器将担当的脚色。

因为您要将此办事器安装为目录林中的第一个域控制器，请单击“新域的域控制器”。

4.单击下一步。

5.由于此域控制器还将充当新域目录树中的第一个域控制器，请单击“创建一个新的域目录树”。

6.单击下一步。

项目活动目录和域的建立4.1 项目内容1 项目目的通过安装活动目录，理解活动目录和域的关系，了解域、域树和域林的概念，并掌握控制器的安装和配置，以及成员服务器的设置。

2项目任务:某公司组建了单位内部的办公网络，该局域网是一个基于工作组的对等网，近期公司的发展很快，新增了了许多员工，计算机用户激增，网络的管理和安全都出现了问题，这是考虑将基于工作组的网络升级为基于域的网络，现在需要将一台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器。

3 任务目标1)学会规划和安装局域网中的活动目录；2)学会在Windows 2003 Server中创建域；3)学会在Windows 2003 Server中添加和管理各种域服务器。

4)学会将局域网中的计算机加入到在Windows 2003 Server的域服务器中。

4.2项目设计1设计有两个域树：和，其中域树下有子域，在域中有两个域控制器；在域中有一个域控制器和有一个成员服务器；下面先创建 的域树，然后再创建的域树。

2 设备清单为了搭建网络环境，需要如下设备：1)安装Windows 2003 Server的PC计算机5台；2)Windows Windows XP计算机1台；3)Windows Server 2003安装光盘。

4.3 项目实施步骤1：创建第一个域创建域可以把一台已经安装Windows Server 2003的对立服务器升级为域控制器。

步骤如下：（1）首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。

（2）其次，打开“开始”菜单，选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导，在此管理介面中出现该服务器已具备功能，如图所示。

（3）选择“添加或删除角色”命令，出现“配置您的服务器向导”介面。

（4）单击“下一步”，选择要安装的服务器角色，在此要安装的是域控制器（ActiveDirectory），对话框中显示本服务器并未配置该项，选中该项，如图4.1所示。

实验报告实验要求：安全的把AD降级
实验目的：当BDC挂了之后安全将PDC降级
实验步骤：先配IP , 密码
首先起一个DNS 不对DNS做任何配置
然后在运行里面敲：dcpromo 起域
创建一个新域
DNS注册选择第2个不要选择第一个
给DC主域控制器设置密码
正在配置域大概在2分10秒左右完毕过程中有两次沙漏第一次是检查这个域名在这个子网中有不有与这个域名相同的域第二次是检查DNS有没有记录.
域已完成.
起完域之后DNS会自动生成两个正向区域
192.168.1.197 此台计算机的IP为192.168.1.198
安装完成来损坏BDC 再将BDC挂起进入运行的cmd 使用命令ntdsutil
再来删除BDC
把这个找到的站点给删除了
找到了两个服务器把BDC这个服务器闪掉
BDC已经被模拟删除现在可以对PDC进行降级.
把这个钩钩上已经BDC已经被删除
经过后面的密码等一些设置
AD已经安全的降级成为本地了。

《计算机网络》实验报告实验序号：实验3 实验项目名称：windows 网络域的实现一、实验目的及要求活动目录的基本概念活动目录的规划与安装域控制器的管理用户账户和计算机账户的管理组和组织单位的管理资源发布和域的管理二、实验设备（环境）及要求两台windows2003服务器三、实验容与步骤2.1 概述2.1.1 活动目录简介2.1.2 活动目录的三种特性集成性深入性易用性活动目录的逻辑结构1．域（Domain）域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系，因此，域是网络安全管理的边界。

也就是说，域的所有对象均处于一个安全管理单位，域和域之间的关系是不同安全管理单位之间的关系。

域是复制的单位。

每个域均可以有一个或者几个域控制器（Domain Controler）。

户的创建、删除、停用、移动等。

4．管理组和组织单位。

四、实验结果与数据处理2.2.2 安装活动目录（1）安装活动目录具体步骤如下：步骤一，启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图2-1所示配置服务器向导窗口。

步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。

单击“下一步”，出现检测网络设置窗口，如图2-2所示。

步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。

如图2-3所示。

单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。

单击“下一步”，出现“Active Directory安装向导窗口”,如图2-4所示。

也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo 命令，单击“确定”按钮2.2.2 安装活动目录（2）2.2.2 安装活动目录（3）步骤四，单击“下一步”，打开“操作系统兼容性”对话框。

环境介绍：公司里有需要，引进了一台新的高性能服务器，要把原来的服务器作为一台成员服务器来使用，用新的服务器代替原来的服务器成为主域控。

思路：首先是FSMO角色的迁移
再次降级主DC
在提升的DC上重建DNS。

（如果把原来的服务器作为DNS也可以）
因为编录服务器就是主DC，所有我们在降级以前要把额外DC做成全局编录服务器，全局编录服务器影响着整个域用户登录。

所以很重要。

我这里主DC计算机名为BASIC，额外DC计
算机名为BDC51CTO.
下面我们把额外DC设置为全局编录服务器
勾选全局编录。

如何验证编录服务器已经工作，我们首先安装support toools
连接额外DC
如果这两项显示为TRUE，则为正常运行
注册框架管理组件
在MMC中添加
更改架构操作主机角色。

更改域命名操作主机角色
最后查看五大角色是否都转移成功。

下面我们降级主DC。

重启以后主域控就为域成员服务器了。

此时该服务器作为DNS在域环境中。

迁移成功了。

如果想彻底把旧服务器报废，我们要在提升了的域控上安装DNS，并把DNS指向自己，重建正向区，在这里就不多做演示了。

2.jpg (29.41 KB)。

活动目录配置06
-------降级域控制器为成员服务器实训要点：
1．卸载的顺序
与安装顺序相反，应该先逐级卸载下面的子域，最后卸载树根域、林根域。

否则将导致子域无法卸载，而存在的子域还有问题，找不到林根域、树根域了。

因为这时极有可能架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除而没有了。

为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删除林根域了。

1．我们来删除额外的域控制器为例。

在PC上以管理员身份登录，cmd-------dcpromo
2．下一步：
3．弹出下图：确定。

如果你没有弹出上图的提示：说明的额外域控制不是全局编录。

4．下图的复选框，什么时候选中，什么时候不选中。

当域中只有这台域控制器了才选中，否则不要选中。

我们这里不是最后一台，当然不要选中，请注意图片中的红框中的文字，很重要！！！下一步：
5．指定管理员密码（本地管理员密码），下一步：再下一步：
6．删除额外域控制器完成，重新启动电脑。

7．可以看到这台计算机还在域中。

本文介绍在域控制器降级失败后，如何删除Active Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本 3 客户端，并且不恰当地修改了Active Directory 对象的属性，则可能造成严重问题。

要解决这些问题，您可能需要重新安装Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或Microsoft Exchange Server 2003，或者Windows 和Exchange 二者都需要重新安装。

Microsoft 不保证能够解决因为Active Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导(Dcpromo.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。

作为降级过程的一部分，此向导会将该域控制器的配置数据从Active Directory 中删除。

此数据的形式是“NTDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于Active Directory 的下列位置：CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuratio n,DC=<domain>...“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。

“NTDS 设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。

将原有AD服务器降级
盖俊飞
【期刊名称】《网络运维与管理》
【年(卷),期】2015(000)008
【摘要】在将主机角色等迁移到“中转服务器”之后，就可以将Active Directory服务器降级到“成员服务器”，并从现有域中移除，为重新安装操作系统、重新成为域控制器做准备。

【总页数】2页(P43-44)
【作者】盖俊飞
【作者单位】河北
【正文语种】中文
【中图分类】TP368.5
【相关文献】
1.通过迁移解决AD服务器问题——迁移服务器方案设计 [J], 王春海;
2.用Delphi结合ADO开发Excel数据服务器应用技术(一)——Delphi结合ADO 的方法和数据连接 [J], 闫海忠
3.用Delphi结合ADO开发Excel数据服务器应用技术(五)——Excel数据服务器的部署和应用实践 [J], 闫海忠
4.船东需改变原有价值观——英国劳氏船级社CEO Richard Sadler [J], 张向辉（编译）
5.CAM—SERVICE 3D软件能够输入知名CAD系统的原有数据 [J], 无
因版权原因，仅展示原文概要，查看原文内容请购买。